核心网络组件
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
本指南提供了有关在新林中规划和部署完全正常运行的网络和新 Active Directory 域所需的核心组件的说明。
本指南包含下列各节:
关于本指南
本指南供以下人员使用:要安装新网络或希望创建基于域的网络以替换由工作组组成的网络的网络管理员和系统管理员。 如果你预计以后需要向网络中添加更多服务和功能,则本指南中提供的部署方案会非常有用。
建议你阅读与本部署方案中所使用的每种技术相对应的设计和部署指南,以帮助你确定本指南中是否提供了你所需的服务和配置。
核心网络是一个为满足组织的信息技术 (IT) 需要提供基础服务的网络硬件、设备和软件的集合。
Windows Server 核心网络提供了包括以下各项在内的多个优点。
用于计算机和其他与传输控制协议/Internet 协议 (TCP/IP) 兼容设备之间进行网络连接的核心协议。 TCP/IP 是一套用于连接计算机和构建网络的标准协议。 TCP/IP 是随 Microsoft Windows 操作系统一起提供的网络协议软件,它实施和支持 TCP/IP 协议套件。
动态主机配置协议 (DHCP) 对计算机和其他配置为 DHCP 客户端的设备进行自动 IP 地址分配。 与使用 DHCP 服务器动态地为计算机和其他设备提供 IP 地址配置相比,在网络上的所有计算机上手动配置 IP 地址非常耗时且不太灵活。
域名系统 (DNS) 名称解析服务。 DNS 允许用户、计算机、应用程序和服务使用计算机或设备的完全限定的域名在网络上查找计算机和设备的 IP 地址。
林,是共享相同类和属性定义(架构)、站点和复制信息(配置)以及全林性搜索功能(全局编录)的一个或多个 Active Directory 域。
目录林根级域,它是在新林中创建的第一个域。 Enterprise Admins 组和 Schema Admins 组是位于目录林根级域中的全林性管理组。 此外,目录林根级域也与其他域一样,是在 Active Directory 域服务 (AD DS) 中由管理员定义的计算机、用户和组对象的集合。 这些对象共享公用目录数据库和安全策略。 如果你随着组织的发展添加了域,它们还可以共享与其他域之间的安全关系。 目录服务还存储目录数据,并允许已授权的计算机、应用程序和用户访问数据。
用户和计算机帐户数据库。 目录服务提供了集中的用户帐户数据库,它允许你为被授权连接到网络并访问网络资源(例如应用程序、数据库、共享的文件和文件夹以及打印机)的人员和计算机创建用户和计算机帐户。
核心网络还允许随着组织的发展和 IT 需要的变化缩放网络。 例如,通过核心网络,可以添加域、IP 子网、远程访问服务、无线服务以及由 Windows Server 2016 提供的其他功能和服务器角色。
网络硬件要求
若要成功部署核心网络,必须部署网络硬件,包括以下各项:
以太网、快速以太网或千兆以太网电缆
集线器、第 2 层交换机或第 3 层交换机、路由器或在计算机和设备之间起中继网络通信作用的其他设备。
符合其各自的客户端和服务器操作系统最低硬件要求的计算机。
本指南未提供的内容
本指南未提供部署以下各项的说明:
网络硬件,例如电缆、路由器、交换机和集线器
其他网络资源,例如打印机和文件服务器
Internet 连接
远程访问
无线访问
客户端计算机部署
注意
默认情况下,将运行 Windows 客户端操作系统的计算机配置为从 DHCP 服务器接收 IP 地址租约。 因此,不需要对客户端计算机进行其他的 DHCP 或 Internet 协议版本 4 (IPv4) 配置。
技术概述
以下部分简要概述了创建核心网络所必需部署的技术。
Active Directory 域服务
目录是在网络上存储有关对象(如用户和计算机)信息的分层结构。 诸如 AD DS 之类的目录服务提供用于存储目录数据并使此数据可供网络用户和管理员使用的方法。 例如,AD DS 存储有关用户帐户的信息,包括名称、电子邮件地址、密码、电话号码等,并允许同一个网络上其他被授权的用户访问此信息。
DNS
DNS 是一个 TCP/IP 网络(例如 Internet 或组织网络)的名称解析协议。 DNS 服务器承载的信息可以使客户端计算机和服务将容易识别的字母数字 DNS 名称解析为计算机相互之间进行通信时所用的 IP 地址。
DHCP
DHCP 是用于简化主机 IP 配置管理的 IP 标准。 DHCP 标准将 DHCP 服务器用于管理网络上启用 DHCP 客户端的 IP 地址动态分配以及其他相关的配置详细信息。
DHCP 允许使用 DHCP 服务器动态地将 IP 地址分配到本地网络上的计算机或其他设备,如打印机。 TCP/IP 网络上的每台计算机都必须有一个独特的 IP 地址,因为 IP 地址和其相关的子网掩码同时标识主计算机和该计算机连接至的子网。 通过使用 DHCP,你可以确保所有配置为 DHCP 客户端的计算机都能收到适合于他们网络位置和子网的 IP 地址,并且通过使用 DHCP 选项,如默认网关和 DNS 服务器,你可以自动向 DHCP 客户端提供它们在网络上正常运作所需的信息。
对于基于 TCP/IP 的网络,DHCP 降低了重新配置计算机时的复杂性和所涉及的管理工作量。
TCP/IP
Windows Server 2016 中的 TCP/IP 如下所示:
基于行业标准网络协议的网络软件。
支持基于 Windows 的计算机连接到局域网 (LAN) 和广域网 (WAN) 环境的可路由企业网络协议。
用于连接基于 Windows 的计算机与不同的系统以便共享信息的核心技术和实用程序。
获得对全局 Internet 服务访问权限的基础,例如万维网和文件传输协议 (FTP) 服务器。
强大、可扩展的跨平台客户端/服务器框架。
TCP/IP 提供了基本的 TCP/IP 实用程序,它使基于 Windows 的计算机可以与其他 Microsoft 和非 Microsoft 系统连接并共享信息,包括:
Windows Server 2016
Windows 10
Windows Server 2012 R2
Windows 8.1
Windows Server 2012
Windows 8
Windows Server 2008 R2
Windows 7
Windows Server 2008
Windows Vista
Internet 主机
Apple Macintosh 系统
IBM 大型机
UNIX 和 Linux 系统
开放 VMS 系统
网络就绪打印机
已启用有线以太网或无线 802.11 技术的平板电脑和移动电话
核心网络概述
下图显示了 Windows Server 核心网络拓扑。
注意
本指南也包括了向你的网络拓扑添加可选“网络策略服务器 (NPS)”和“Web 服务器 (IIS)”的说明,为安全网络访问解决方案(如可使用“核心网络助理”指南实现的 802.1X 有线和无线部署)提供基础。 有关详细信息,请参阅为网络访问身份验证和 Web 服务部署可选功能。
核心网络组件
下面是核心网络的相关组件。
路由器
此部署指南说明了如何使用路由器(已启用 DHCP 转发)分隔的两个子网部署核心网络。 但是,根据你的要求和资源,可以部署第 2 层交换机、第 3 层交换机或集线器。 如果部署交换机,该交换机必须能够进行 DHCP 转发,或者必须在每个子网上放置 DHCP 服务器。 如果部署集线器,则部署的是单个子网且不需要 DHCP 转发或 DHCP 服务器上的其他作用域。
静态 TCP/IP 配置
此部署中的服务器配置了静态 IPv4 地址。 默认情况下,客户端计算机配置为从 DHCP 服务器接收 IP 地址租约。
Active Directory 域服务全局编录和 DNS 服务器 DC1
Active Directory 域服务 (AD DS) 和域名系统 (DNS) 都安装在 DC1 服务器上,从而为网络上的所有计算机和设备提供目录和名称解析服务。
DHCP 服务器 DHCP1
用向本地子网上的计算机提供 Internet 协议 (IP) 地址租约的作用域,对名为 DHCP1 的 DHCP 服务器进行配置。 如果在路由器上配置了 DHCP 转发,还可以将 DHCP 服务器配置为具有向其他子网上的计算机提供 IP 地址租约的其他作用域。
客户端计算机
默认情况下,将运行 Windows 客户端操作系统的计算机配置为 DHCP 客户端,该客户端自动从 DHCP 服务器获得 IP 地址和 DHCP 选项。
核心网络规划
部署核心网络之前,必须规划以下项目。
以下部分提供有关这些项目中每个项目的详细信息。
注意
为帮助规划部署,另请参阅附录 E – 核心网络规划准备页。
规划子网
在传输控制协议/Internet 协议 (TCP/IP) 网络中,使用路由器互连在不同物理网段(称为子网)上使用的硬件和软件。 还使用路由器在每个子网之间转发 IP 数据包。 继续按本指南中的说明进行操作之前,请确定网络的物理布局,包括所需的路由器和子网数量。
此外,若要将网络上的服务器配置为具有静态 IP 地址,必须确定要用于核心网络服务器所在子网的 IP 地址范围。 本指南将专用 IP 地址范围 10.0.0.1 – 10.0.0.254 和 10.0.1.1 – 10.0.1.254 作为示例,但你可以使用任何你所偏好的专用 IP 地址范围。
重要
当选择了想用于每个子网的 IP 地址范围之后,确保用来配置你的路由器的 IP 地址,来自与安装了该路由器的子网所使用的相同的 IP 地址范围。 例如,如果你的路由器默认用 IP 地址 192.168.1.1 进行配置,但你打算将其安装在 IP 地址范围为 10.0.0.0/24 的子网上,你必须重新配置路由器,让它使用来自 10.0.0.0/24 IP 地址范围的一个 IP 地址。
按照 Internet 征求意见文档 (RFC) 1918 指定以下可以识别的专用 IP 地址范围:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
当使用 RFC 1918 中指定的专用 IP 地址范围时,无法使用专用 IP 地址直接连接到 Internet,因为 Internet 服务提供商 (ISP) 路由器会自动丢弃传入这些地址或从中传出的请求。 若要稍后向核心网络中添加 Internet 连接,必须与 ISP 签约以获得公用 IP 地址。
重要
当使用专用 IP 地址时,必须使用某些类型的代理或网络地址转换 (NAT) 服务器,将本地网络上的专用 IP 地址范围转换为可以在 Internet 上路由的公用 IP 地址。 大多数路由器提供 NAT 服务,所以选择一个提供 NAT 的路由器应该相当简单。
有关详细信息,请参阅规划 DHCP1 的部署。
规划所有服务器的基本配置
对于核心网络的每个服务器,你应该重命名计算机并为计算机分配和配置一个静态的 IPv4 地址和其他 TCP/IP 属性。
规划计算机和设备的命名约定
为了实现网络之间的一致性,最好对服务器、打印机和其他设备使用一致的名称。 计算机名称可用来帮助用户和管理员轻松确定服务器、打印机或其他设备的用途和位置。 例如,如果有三台 DNS 服务器,一台在旧金山,一台在洛杉矶,还有一台在芝加哥,则可以使用命名约定服务器功能-位置-编号:
DNS-DEN-01。 此名称代表了科罗拉多州丹佛市的 DNS 服务器。 如果在丹佛添加了其他 DNS 服务器,则可以递增名称中的数值,如 DNS-DEN-02 和 DNS-DEN-03。
DNS-SPAS-01。 此名称代表了加利福尼亚州南帕萨迪纳市的 DNS 服务器。
DNS-ORL-01。 此名称代表了佛罗里达州奥兰多市的 DNS 服务器。
对这个向导来说,服务器命名约定非常简单,由主服务器函数和一个数值组成。 例如,域控制器被命名为 DC1 而 DHCP 服务器被命名为 DHCP1。
建议你在使用这个向导安装核心网络前选择一个命名约定。
规划静态 IP 地址
将每台计算机配置为具有静态 IP 地址之前,必须规划子网和 IP 地址范围。 此外,还必须确定 DNS 服务器的 IP 地址。 如果计划安装可以访问其他网络(如其他子网或 Internet)的路由器,则必须知道该路由器的 IP 地址(也称为默认网关)才能进行静态 IP 地址配置。
下表提供了静态 IP 地址配置的示例值。
| 配置项 | 示例值 |
|---|---|
| IP 地址 | 10.0.0.2 |
| 子网掩码 | 255.255.255.0 |
| 默认网关(路由器 IP 地址) | 10.0.0.1 |
| 首选 DNS 服务器 | 10.0.0.2 |
注意
如果你规划部署一台以上 DNS 服务器,则也可规划替代的 DNS 服务器 IP 地址。
规划 DC1 的部署
下面是在 DC1 上安装 Active Directory 域服务 (AD DS) 和 DNS 之前的主要规划步骤。
规划目录林根级域的名称
AD DS 设计过程的第一步是确定组织中需要多少林。 林是顶级 AD DS 容器,它由共享公用架构和全局编录的一个或多个域组成。 一个组织可以拥有多个林,但是对于大多数组织来说,单一林设计是首选模型,而且也最便于管理。
在组织中创建第一个域控制器时,便会创建第一个域(也称为目录林根级域)和第一个林。 但在使用本指南执行该操作之前,必须确定适合你组织的最佳域名。 大多数情况下,将使用组织名称作为域名,并且在很多情况下注册该域名。 如果你打算规划部署面向外部的基于 Internet 的 Web 服务器,为你的客户与伙伴提供信息和服务,选择一个尚未使用的域名,然后登记该域名以使你的组织拥有它。
规划林功能级别
安装 AD DS 时,必须选择要使用的林功能级别。 Windows Server 2003 Active Directory 中引入了域和林功能,该功能提供了一种在你的网络环境中启用域或林范围的 Active Directory 功能的方式。 不同的环境,可以使用不同级别的域功能和林功能级别。
林功能启用了目录林中所有域上的功能。 可以使用以下林功能级别:
Windows Server 2008。 该林功能级别仅支持运行 Windows Server 2008 和更高版本 Windows Server 操作系统的域控制器。
Windows Server 2008 R2。 该林功能级别支持 Windows Server 2008 R2 域控制器和运行更高版本 Windows Server 操作系统的域控制器。
Windows Server 2012。 该林功能级别支持 Windows Server 2012 域控制器和运行更高版本 Windows Server 操作系统的域控制器。
Windows Server 2012 R2。 该林功能级别支持 Windows Server 2012 R2 域控制器和运行更高版本 Windows Server 操作系统的域控制器。
Windows Server 2016。 该林功能级别仅支持 Windows Server 2016 域控制器和运行更高版本 Windows Server 操作系统的域控制器。
如果要在新林中部署新域,并且所有域控制器都将运行 Windows Server 2016,则建议在 AD DS 安装过程中使用 Windows Server 2016 林功能级别配置 AD DS。
重要
提升林功能级别后,无法将运行早期版本操作系统的域控制器引入该林。 例如,如果将林功能级别提升到 Windows Server 2016,则无法将运行 Windows Server 2012 R2 或 Windows Server 2008 的域控制器添加到该林。
下表提供了 AD DS 的示例配置项。
| 配置项: | 示例值: |
|---|---|
| 完整 DNS 名 | 示例: - corp.contoso.com |
| 林功能级别 | - Windows Server 2008 - Windows Server 2008 R2 - Windows Server 2012 - Windows Server 2012 R2 - Windows Server 2016 |
| Active Directory 域服务数据库文件夹位置 | E:\Configuration\ 或接受默认位置。 |
| Active Directory 域服务日志文件文件夹位置 | E:\Configuration\ 或接受默认位置。 |
| Active Directory 域服务 SYSVOL 文件夹位置 | E:\Configuration\ 或接受默认位置 |
| 目录还原模式的管理员密码 | J*p2leO4$F |
| 答案文件名(可选) | AD DS_AnswerFile |
规划 DNS 区域
在初级的集成了 Active Directory 的 DNS 服务器上,默认在 DNS 服务器角色安装期间创建一个正向查找区域。 正向查找区域允许计算机和设备根据其 DNS 名称查询其他计算机或设备的 IP 地址。 除了正向查找区域之外,建议你创建 DNS 反向查找区域。 借助 DNS 反向查找查询,计算机或设备可以使用其 IP 地址发现其他计算机或设备的名称。 部署反向查找区域通常会提高 DNS 的性能,而且会大大增加 DNS 查询的成功率。
创建反向查找区域时,会在 DNS 中配置 in-addr.arpa 域,该域在 DNS 标准中定义且保留在 Internet DNS 命名空间中,以提供一种用于执行反向查询的实用可靠的方式。 为创建反向命名空间,通过对 IP 地址点分十进制表示法形式的数字进行反向排序,可以形成 in-addr.arpa 域中的子域。
in-addr.arpa 域适用于基于 Internet 协议版本 4 (IPv4) 寻址的所有 TCP/IP 网络。 新建区域向导会自动假定你在创建新的反向查找区域时使用此域。
运行新建区域向导时,建议进行以下选择:
| 配置项 | 示例值 |
|---|---|
| 区域类型 | 选择“主要区域”和“在 Active Directory 中存储区域” |
| Active Directory 区域传送作用域 | 至此域中的所有 DNS 服务器 |
| 第一个反向查找区域名称向导页 | IPv4 反向查找区域 |
| 第二个反向查找区域名称向导页 | 网络 ID = 10.0.0. |
| 动态更新 | 仅允许安全动态更新 |
规划域访问
若要登录到域,计算机必须是域成员计算机,而且必须在进行登录尝试之前在 AD DS 中创建用户帐户。
注意
运行 Windows 的单个计算机有一个本地用户与组的用户帐户数据库,被称为被称为安全帐户管理器 (SAM) 用户帐户数据库。 当在 SAM 数据库中的本地计算机上创建用户帐户的时候,你可以登录到本地计算机,但无法登录到域。 用域控制器上的 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC),而不是用本地计算机上的本地用户和组来创建域用户帐户。
使用域登录凭据第一次成功登录之后,登录设置将持续存在,除非从域中删除该计算机或者手动更改登录设置。
登录到域之前:
在“Active Directory 用户和计算机”中创建用户帐户。 每个用户必须在“Active Directory 用户和计算机”中拥有一个 Active Directory 域服务用户帐户。 有关详细信息,请参阅在Active Directory 用户和计算机中创建用户帐户。
确保 IP 地址配置正确。 若要使计算机加入域,该计算机必须具有 IP 地址。 本指南中,服务器配置为具有静态 IP 地址并且客户端计算机从 DHCP 服务器接收 IP 地址租约。 为此,必须在将客户端加入域之前部署 DHCP 服务器。 有关详细信息,请参阅部署 DHCP1。
将计算机加入域。 提供或者访问网络资源的任何计算机都必须加入域。 有关详细信息,请参阅将服务器计算机加入到域并登录和将客户端计算机加入到域并登录。
规划 DHCP1 的部署
下面是在 DHCP1 上安装 DHCP 服务器角色之前的主要规划步骤。
规划 DHCP 服务器和 DHCP 转发
由于 DHCP 消息是广播消息,因此路由器不会在子网之间转发这些消息。 如果你有多个子网并且想为每个子网提供 DHCP 服务,则必须执行以下操作之一:
在每个子网上安装 DHCP 服务器
将路由器配置为跨子网转发 DHCP 广播消息,并且在 DHCP 服务器上配置多个作用域,每个子网一个作用域。
大多数情况下,将路由器配置为转发 DHCP 广播消息比在网络的每个物理网段上部署 DHCP 服务器更经济有效。
规划 IP 地址范围
每个子网必须具有其自己的独特 IP 地址范围。 在 DHCP 服务器上用作用域表示这些范围。
作用域是为了便于管理而对子网上使用 DHCP 服务的计算机 IP 地址进行的分组。 管理员首先为每个物理子网创建一个作用域,然后使用此作用域定义客户端所用的参数。
作用域具有下列属性:
IP 地址范围,从中可包括或排除用于 DHCP 服务租约提供的地址。
子网掩码,它确定给定 IP 地址的子网前缀。
作用域名称,在创建作用域时指定该名称。
租用期限值,这些值被分配到接收动态分配的 IP 地址的 DHCP 客户端。
为向 DHCP 客户端进行分配而配置的所有 DHCP 作用域选项,例如 DNS 服务器 IP 地址和路由器/默认网关 IP 地址。
预留,可以选择用于确保 DHCP 客户端始终接收相同的 IP 地址。
部署服务器之前,请列出子网以及要用于每个子网的 IP 地址范围。
规划子网掩码
使用子网掩码来区分 IP 地址中的网络 ID 和主机 ID。 每个子网掩码都是一个 32 位的数字,它使用全部为 1 的连续位组标识网络 ID,使用全部为 0 的连续位组标识 IP 地址的主机 ID 部分。
例如,用于 IP 地址 131.107.16.200 的子网掩码通常是以下 32 位二进制数字:
11111111 11111111 00000000 00000000
该子网掩码数字是前面 16 个 1 位,后跟 16 个 0 位,表示该 IP 地址的网络 ID 和主机 ID 部分的长度都是 16 位。 通常,该子网掩码采用点分隔的十进制表示法显示为 255.255.0.0。
下表显示了 Internet 地址类别的子网掩码。
| 地址类别 | 子网掩码的位 | 子网掩码 |
|---|---|---|
| 类 A | 11111111 00000000 00000000 00000000 | 255.0.0.0 |
| 类 B | 11111111 11111111 00000000 00000000 | 255.255.0.0 |
| 类 C | 11111111 11111111 11111111 00000000 | 255.255.255.0 |
在 DHCP 中创建作用域并且为该作用域输入 IP 地址范围时,DHCP 提供这些默认的子网掩码值。 通常,默认的子网掩码值对于没有特殊要求的大多数网络来说都是可以接受的,其中每个 IP 网段对应于一个物理网络。
某些情况下,可以使用自定义子网掩码实现 IP 子网。 借助 IP 子网,可以细分 IP 地址的默认主机 ID 部分以指定子网,这些子网是基于原始类别的网络 ID 的细分。
通过自定义子网掩码长度,可以减少用于实际主机 ID 的位数。
为了防止出现寻址和路由问题,应该确保网段上的所有 TCP/IP 计算机使用同一子网掩码并且每台计算机或设备具有唯一的 IP 地址。
规划排除范围
当你在 DHCP 服务器上创建一个作用域的时候,你指定一个 IP 地址范围,这个范围包括允许 DHCP 服务器租用给 DHCP 客户端(如计算机和其他设备)的全部 IP 地址。 如果你随后进行尝试,并使用来自 DHCP 服务器所用的 IP 地址范围的静态 IP 地址,手动配置一些服务器和其他设备,你可能碰巧会造成一个 IP 地址冲突,在冲突中,你和 DHCP 服务器向不同的设备分配了同样的 IP 地址。
若要解决这个问题,你可以为 DHCP 作用域创建一个排除范围。 排除范围是作用域的 IP 地址范围内不允许 DHCP 服务器使用的一个连续的 IP 地址范围。 如果你创建了排除范围,DHCP 服务器将不会分配那个范围内的地址,这允许你手动分配这些地址,而不会造成 IP 地址冲突。
可以通过为每个作用域创建一个排除范围,从 DHCP 服务器的分发中排除 IP 地址。 应该对配置有静态 IP 地址的所有设备使用排除。 所排除的地址应包括所有手动分配给其他服务器、非 DHCP 客户端、无盘工作站或路由和远程访问及 PPP 客户端的 IP 地址。
建议你将排除范围配置为具有额外地址,以适应未来网络的扩容。 下表提供了一个 IP 地址范围为 10.0.0.1 - 10.0.0.254 且子网掩码为 255.255.255.0 的作用域示例排除范围。
| 配置项 | 示例值 |
|---|---|
| 排除范围起始 IP 地址 | 10.0.0.1 |
| 排除范围结束 IP 地址 | 10.0.0.25 |
规划 TCP/IP 静态配置
某些设备(如路由器、DHCP 服务器和 DNS 服务器)必须配置有静态 IP 地址。 此外,你可能还拥有其他设备(如打印机),你希望确保这些设备始终具有相同的 IP 地址。 针对每个子网,列出要静态配置的设备,然后规划要在 DHCP 服务器上使用的排除范围,以确保 DHCP 服务器不会租用静态配置的设备的 IP 地址。 排除范围是作用域中有限的 IP 地址序列,这些地址不提供 DHCP 服务。 排除范围确保服务器不会将这些范围中的任何地址提供给网络上的 DHCP 客户端。
例如,如果子网的 IP 地址范围为 192.168.0.1 到 192.168.0.254 并且你有 10 个要配置静态 IP 地址的设备,则可以为包含 10 个或更多 IP 地址的 192.168.0.x 作用域创建一个排除范围:192.168.0.1 到 192.168.0.15。
在本例中,使用 10 个排除的 IP 地址将服务器和其他设备配置为静态 IP 地址,剩下的其他 5 个 IP 地址用于将来可能希望添加的新设备的静态配置。 对于此排除范围,DHCP 服务器将保留 192.168.0.16 到 192.168.0.254 的地址池。
下表提供了 AD DS 和 DNS 的其他示例配置项。
| 配置项 | 示例值 |
|---|---|
| 网络连接绑定 | 以太网 |
| DNS 服务器设置 | DC1.corp.contoso.com |
| 首选 DNS 服务器 IP 地址 | 10.0.0.2 |
| “添加作用域”对话框值 1. 作用域名称 |
1. 主要子网 2. 10.0.0.1 3. 10.0.0.254 4. 255.255.255.0 5. 10.0.0.1 6. 8 天 |
| IPv6 DHCP 服务器操作模式 | 未启用 |
核心网络部署
若要部署核心网络,请按照以下基本步骤执行操作:
注意
- 本指南中的大多数过程都提供有等价的 Windows PowerShell 命令。 在运行 Windows PowerShell 的这些 cmdlets之前,用适合于你的网络部署的值替换示例值。 此外,在 Windows PowerShell 中,你必须在一个单独的行中输入每个 cmdlet。 本指南中,由于格式化约束和你浏览器或其他应用程序对文档的显示,单独的 cmdlets 可能显示在好几行中。
- 对于打开“用户帐户控制”对话框以请求你允许继续操作的情况,本指南中的过程不做说明。 如果在执行本指南中的过程时出现了此对话框,并且该对话框是因响应你的操作而出现的,则请单击“继续”。
配置所有服务器
安装其他技术(如 Active Directory 域服务或 DHCP)之前,配置以下项非常重要。
可以使用以下部分为每台服务器执行这些操作。
Administrators组成员或同等身份是执行这些过程的最低要求。
重命名计算机
可以使用本部分介绍的过程更改计算机的名称。 在操作系统自动创建了一个你不想使用的计算机名的情况下,重命名计算机是件有用的事情。
注意
要使用 Windows PowerShell 执行这一过程,打开 PowerShell 并在不同的行中键入下列 cmdlet,然后按 ENTER 键。 你同样必须将 ComputerName 替换为你要使用的名字。
Rename-Computer计算机名
Restart-Computer
重命名运行 Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2012 的计算机
在服务器管理器中,单击“本地服务器”。 计算机“属性”显示在细节窗格中。
在“属性”中,在“计算机名”中单击现有计算机名。 这将打开“系统属性”对话框。 单击更改。 这将打开“计算机名/域更改”对话框。
在“计算机名/域更改”对话框的“计算机名称”框中,键入计算机的新名称。 例如,如果要将计算机命名为 DC1,请键入 DC1。
单击两次“确定”,再单击“关闭”。 如果你想立即重启计算机完成名称更改,单击“立即重启”。 否则,单击“稍后重启”。
注意
有关如何重命名运行其他 Microsoft 操作系统的计算机的信息,请参阅附录 A – 重命名计算机。
配置静态 IP 地址
可以使用本主题介绍的过程,将运行 Windows Server 2016 的计算机的网络连接 Internet 协议版本 4 (IPv4) 属性配置为静态 IP 地址。
注意
要使用 Windows PowerShell 执行这一过程,打开 PowerShell 并在不同的行中键入下列 cmdlet,然后按 ENTER 键。 也必须用你想要用来配置计算机的值,替换这个例子里的接口名称和 IP 地址。
New-NetIPAddress -IPAddress 10.0.0.2 -InterfaceAlias "Ethernet" -DefaultGateway 10.0.0.1 -AddressFamily IPv4 -PrefixLength 24
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 127.0.0.1
在运行 Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2012 的计算机上配置静态 IP 地址
在任务栏里,右键单击“网络”图表,然后单击“打开网络和共享中心”。
在“网络和共享中心”中,单击“更改适配器设置”。 “网络连接”文件夹打开并显示可用的网络连接。
在“网络连接”中,右键单击要配置的连接,然后单击“属性”。 打开网络连接“属性”对话框。
在网络连接“属性”对话框的“此连接使用下列项目”中,选择“Internet 协议版本 4 (TCP/IPv4)”,然后单击“属性”。 这将打开“Internet 协议版本 4 (TCP/IPv4) 属性”对话框。
在“Internet 协议版本 4 (TCP/IPv4) 属性”中的“常规”选项卡上,单击“使用下面的 IP 地址”。 在“IP 地址”中,键入你要使用的 IP 地址。
按 Tab 以将光标移到“子网掩码”中。 子网掩码的默认值将自动输入。 可以接受该默认的子网掩码,也可以键入要使用的子网掩码。
在“默认网关”中,键入默认网关的 IP 地址。
注意
必须用你路由器的局域网 (LAN) 界面使用的同一 IP 地址配置“默认网关”。 例如,如果你有一个不仅连接到你的 LAN,也连接到如 Internet 这样的广域网 (WAN) 的路由器,使用你随后将指定为“默认网关”的同一个 IP 地址,配置 LAN 界面。 在另一个例子里,如果你有一个连接到两个 LAN 的路由器,其中 LAN A 使用地址范围 10.0.0.0/24 而 LAN B 使用地址范围 192.168.0.0/24,使用来自那个地址范围的一个地址(如 10.0.0.1)配置 LAN A 路由器 IP 地址。 另外,在这个地址范围的 DHCP 作用域里,用 IP 地址 10.0.0.1 配置“默认网关”。 对 LAN B 而言,使用来自那个地址范围的一个地址(如 192.168.0.1)配置 LAN B 路由器界面,然后将 LAN B 作用域配置为 192.168.0.0/24,“默认网关”值为 192.168.0.1。
在“首选 DNS 服务器”中,键入 DNS 服务器的 IP 地址。 如果计划使用本地计算机作为首选 DNS 服务器,则键入本地计算机的 IP 地址。
在“备用 DNS 服务器”中,键入备用 DNS 服务器的 IP 地址(如果有)。 如果计划使用本地计算机作为备用 DNS 服务器,则键入本地计算机的 IP 地址。
单击 “确定” ,再单击 “关闭” 。
注意
有关如何在运行其他 Microsoft 操作系统的计算机上配置静态 IP 地址的信息,请参阅附录 B – 配置静态 IP 地址。
部署 DC1
若要部署 DC1 [运行 Active Directory 域服务 (AD DS) 和 DNS 的计算机],必须按照以下顺序完成这些步骤:
管理权限
如果要安装小型网络并且你是该网络的唯一管理员,则建议你为自己创建一个用户帐户,然后将该用户帐户同时添加为 Enterprise Admins 和 Domain Admins 的成员。 这样做将便于你充当所有网络资源的管理员。 还建议你仅当需要执行管理任务时才使用该帐户登录,并且创建一个单独的用户帐户,用于执行与 IT 不相关的任务。
如果你拥有包含多个管理员的较大组织,请参阅 AD DS 文档来确定组织员工的最佳组成员身份。
域用户帐户与本地计算机上的用户帐户之间的差别
基于域的基础结构的一个优势是不需要在域中的每台计算机上创建用户帐户。 无论该计算机是客户端计算机还是服务器都是如此。
因此,不应在域中的每台计算机上创建用户帐户。 而应在“Active Directory 用户和计算机”中创建所有用户帐户并使用前面所述步骤分配组成员身份。 默认情况下,所有用户帐户都是 Domain Users 组的成员。
域用户组的所有成员在被加入到域之后,都可以登录到任意客户端计算机。
可以配置用户帐户以指定允许用户登录到计算机的日期和时间。 还可以指定允许每个用户使用的计算机。 若要配置这些设置,请打开“Active Directory 用户和计算机”,找到要配置的用户帐户,然后双击该帐户。 在用户帐户“属性”中,单击“帐户”选项卡,然后单击“登录时间”或“登录到”。
为新林安装 AD DS 和 DNS
可以使用以下过程之一安装 Active Directory 域服务 (AD DS) 和 DNS,以及在新林中新建域。
第一个过程提供有关使用 Windows PowerShell 执行这些操作的说明,第二个过程则演示如何使用服务器管理器来安装 AD DS 和 DNS。
重要
完成此过程中的步骤后,计算机将自动重启。
使用 Windows PowerShell 安装 AD DS 和 DNS
可以使用以下命令安装和配置 AD DS 和 DNS。 必须用所需域名值替换此示例中的域名。
“管理员”中的成员身份是执行此过程所需的最低要求。
- 以管理员身份运行 Windows PowerShell,键入以下命令,然后按 Enter:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools`
成功安装后,Windows PowerShell 中会显示以下消息。
| Success | 需要重启 | 退出代码 | 功能结果 |
|---|---|---|---|
| True | 否 | Success | {Active Directory Domain Services, Group P... |
- 在 Windows PowerShell 中,键入以下命令,将 corp.contoso.com 文本替换为所需域名,然后按 Enter:
Install-ADDSForest -DomainName "corp.contoso.com"
在安装和配置过程(Windows PowerShell 窗口顶部可见)中,系统将显示以下提示。 显示后,键入密码,然后按 Enter。
SafeModeAdministratorPassword:
键入密码并按 Enter 后,系统将显示以下确认提示。 键入同一个密码,然后按 Enter。
Confirm SafeModeAdministratorPassword:
出现以下提示时,键入字母 Y,然后按 Enter。
The target server will be configured as a domain controller and restarted when this operation is complete. Do you want to continue with this operation? [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"):如果需要,可以阅读在正常成功安装 AD DS 和 DNS 期间显示的警告消息。 这些消息是正常的,并不表示安装失败。
安装成功后,系统将显示一条消息,指示你将从计算机注销,以便计算机重启。 如果单击“关闭”,会立即从计算机注销,计算机将重启。 如果不单击“关闭”,则计算机会在默认时间段后重启。
重启服务器后,可以验证是否成功安装 Active Directory 域服务和 DNS。 打开 Windows PowerShell 并键入以下命令,然后按 ENTER。
Get-WindowsFeature
此命令的结果将显示在 Windows PowerShell 中,应类似于下图中的结果。 对于已安装的技术,技术名称左侧的括号内包含字符 X,并且“安装状态”的值为“已安装”。
使用服务器管理器安装 AD DS 和 DNS
在 DC1 上,在“服务器管理器”中,单击“管理”,然后单击“添加角色和功能”。 “添加角色和功能向导”将打开。
在“准备工作”中,单击“下一步”。
注意
如果以前运行“添加角色和功能向导”时选择了“默认跳过此页”,则“添加角色和功能向导”的“准备工作”页不会显示。
在“选择安装类型”中,确保选中“基于角色或基于功能的安装”,然后单击“下一步”。
在“选择目标服务器”中,确保选中“从服务器池中选择一个服务器”。 在“服务器池”中,确保选中了本地计算机。 单击“下一步”。
在“选择服务器角色”的“角色”中,单击“Active Directory 域服务”。 在“添加 Active Directory 域服务所需的功能”中,单击“添加功能”。 单击“下一步”。
在“选择功能”中,单击“下一步”,然后在“Active Directory 域服务”中查看提供的信息,然后单击“下一步”。
在“确认安装选择”中,单击“安装”。 “安装进度”页会显示安装期间的状态。 进程完成时,在详细信息消息中,单击“将这台服务器提升为域控制器”。 打开“Active Directory 域服务配置向导”。
在“部署配置”中,选择“添加一个新林”。 在“根域名”中,为你的域键入完全限定的域名 (FQDN)。 例如,如果你的 FQDN 为 corp.contoso.com,则键入 corp.contoso.com。 单击“下一步”。
在“域控制器选项”的“选择新林和根域的功能级别”,选择要使用的林功能级别和域功能级别。 在“指定域控制器功能”中,确保选中了“域名系统(DNS)”服务器和“全局编录(GC)”。 在“密码”和“确认密码”中,键入要使用的“目录服务还原模式(DSRM)”密码。 单击“下一步”。
在“DNS 选项”中单击“下一步”。
在“其他选项”中,验证指派给域的 NetBIOS 名称,并且只要需要,就可更改它。 单击“下一步”。
在“路径”的“指定 AD DS 数据库、日志文件和 SYSVOL 的位置”中,执行下列操作之一:
接受默认值。
键入要用于“数据库文件夹”、“日志文件文件夹”和“SYSVOL 文件夹”的文件夹位置。
单击“下一步”。
在“查看选项”中,查看你的选择。
如果要将设置导出至一个 Windows PowerShell 脚本,单击“查看脚本”。 脚本在“记事本”中被打开,可将它保存到你期望的文件夹位置。 单击“下一步”。 在“先决条件检查”中验证你的选择。 检查完成时,单击“安装”。 当 Windows 提示你的时候,单击“关闭”。 服务器重启以完成 AD DS 和 DNS 的安装。
若要验证安装是否成功,请在服务器重启后查看服务器管理器控制台。 AD DS 和 DNS 均应显示在左窗格中,如下图中突出显示的项。
在“Active Directory 用户和计算机”中创建用户帐户
可以使用此过程在“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC) 中新建域用户帐户。
“Domain Admins”成员身份或同等身份是执行此过程的最低要求。
注意
要使用 Windows PowerShell 执行这一过程,打开 PowerShell 并在一行中键入下面的 cmdlet,然后按 ENTER 键。 你也必须用你想使用的值替换这个例子里的用户帐户名。
New-ADUser -SamAccountName User1 -AccountPassword (read-host "Set user password" -assecurestring) -name "User1" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
按 ENTER 键。,键入用户帐户的密码。 创建了帐户,并且默认授予其“域用户”组的成员资格。
使用下面的 cmdlet,你可以给新用户帐户分配更多的组成员资格。 下面的例子将 User1 添加到“Domain Admins”和“Enterprise Admins”组。 运行此命令前确保你更改了用户帐户名、域名和组,以匹配你的要求。
Add-ADPrincipalGroupMembership -Identity "CN=User1,CN=Users,DC=corp,DC=contoso,DC=com" -MemberOf "CN=Enterprise Admins,CN=Users,DC=corp,DC=contoso,DC=com","CN=Domain Admins,CN=Users,DC=corp,DC=contoso,DC=com"
创建用户帐户的步骤
在 DC1 的服务器管理器中,单击“工具”,然后单击“Active Directory 用户和计算机”。 将打开“Active Directory 用户和计算机”MMC。 单击域的节点(如果尚未选定)。 例如,如果你的域是 corp.contoso.com,则单击 corp.contoso.com。
在细节窗格中,右键单击要向其中添加用户帐户的文件夹。
位于哪里?
- Active Directory 用户和计算机/域节点/文件夹
指向“新建”,然后单击“用户”。 此时将打开“新建对象 - 用户”对话框。
在“名字”中,键入用户的名字。
在“姓名缩写”中,键入用户的姓名首字母缩写。
在“姓氏”中,键入用户的姓。
修改“姓名”以添加姓名首字母缩写或颠倒名字和姓氏的顺序。
在“用户登录名”中,键入用户的登录名。 单击“下一步”。
在“新建对象 - 用户”的“密码”和“确认密码”中,键入该用户的密码,然后选择相应的密码选项。
单击“下一步”,查看新用户帐户设置,然后单击“完成”。
分配组成员身份
可以使用以下过程在 Active Directory 用户和计算机的 Microsoft 管理控制台 (MMC) 中将用户、计算机或组添加到另一个组中。
“Domain Admins”中的成员身份或同等身份是执行此过程的最低要求。
分配组成员身份的步骤
在 DC1 的服务器管理器中,单击“工具”,然后单击“Active Directory 用户和计算机”。 将打开“Active Directory 用户和计算机”MMC。 单击域的节点(如果尚未选定)。 例如,如果你的域是 corp.contoso.com,则单击 corp.contoso.com。
在细节窗格中,双击包含要添加成员的组的文件夹。
位于哪里?
- Active Directory 用户和计算机/域节点/包含组的文件夹
在细节窗格中,右键单击你要添加到组的对象(如用户或计算机),然后单击“属性”。 此时将打开对象的“属性”对话框。 单击“隶属于”选项卡。
在“隶属于”选项卡上,单击“添加”。
在“输入要选择的对象名称”中,键入要添加对象的组名,然后单击“确定”。
若要将组成员身份分配到其他用户、组或计算机,请重复此过程中的步骤 4 和 5。
配置 DNS 反向查找区域
可以使用此过程在“域名系统 (DNS)”中配置反向查找区域。
“域管理员”中的成员身份是执行此过程所需的最低要求。
注意
- 对于中大型组织,建议在 Active Directory“用户和计算机”中配置和使用“DNSAdmins”组。 有关详细信息,请参阅其他技术资源。
- 要使用 Windows PowerShell 执行这一过程,打开 PowerShell 并在一行中键入下面的 cmdlet,然后按 ENTER 键。 你也必须用你想使用的值替换这个例子里的 DNS 反向查找区域和区域文件名。 确保你是将网络 ID 反过来作为反向区域名称的。 例如,如果网络 ID 是 192.168.0,创建反向查找区域名称 0.168.192.in-addr.arpa。
Add-DnsServerPrimaryZone 0.0.10.in-addr.arpa -ZoneFile 0.0.10.in-addr.arpa.dns
配置 DNS 反向查找区域的步骤
在 DC1 的服务器管理器中,单击“工具”,然后单击“DNS”。 此时将打开 DNS MMC。
在 DNS 中,如果它尚未展开,请双击服务器名称展开树。 例如,如果 DNS 服务器名为 DC1,则双击 DC1。
选择“反向查找区域”,右键单击“反向查找区域”,然后单击“新建区域”。 将打开“新建区域向导”。
在“欢迎使用新建区域向导”中,单击“下一步”。
在“区域类型”中,选择“主要区域”。
如果 DNS 服务器是可写域控制器,确保选中了“在 Active Directory 中存储区域”。 单击“下一步”。
在“Active Directory 区域复制作用域”中,选择“到在本域内域控制器上运行的所有 DNS 服务器”,除非你有特别的原因,要选择不同的选项。 单击“下一步”。
在第一个“反向查找区域名称”页中,选择“IPv4 反向查找区域”。 单击“下一步”。
在第二个“反向查找区域名称”页中,执行下列操作之一:
在“网络 ID”中,键入 IP 地址范围的网络 ID。 例如,如果你的 IP 地址范围是 10.0.0.1 到 10.0.0.254,那么键入 10.0.0。
在“反向查找区域名称”中,自动添加了你的 IPv4 反向查找区域名称。 单击“下一步”。
在“动态更新”中,选择希望允许的动态更新类型。 单击“下一步”。
在“完成新建区域向导”中,查看你的选择,然后单击“完成”。
将服务器计算机加入域并登录
安装 Active Directory 域服务 (AD DS) 并创建一个或多个具有将计算机加入域的权限的用户帐户后,可以将核心网络服务器加入域并登录到服务器,以便安装其他技术,例如动态主机配置协议 (DHCP)。
在要部署的所有服务器(运行 AD DS 的服务器除外)上,执行以下操作:
注意
若要使用 Windows PowerShell 执行这一过程,请打开 PowerShell 并键入以下 cmdlet,然后按 ENTER。 你同样必须将域名替换为你要使用的名字。
Add-Computer -DomainName corp.contoso.com
按照提示,为一个有权限将计算机加入域的帐户键入用户名和密码。 若要重新启动计算机,键入以下命令,然后按 ENTER 键。
Restart-Computer
将运行 Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2012 的计算机加入到域
在服务器管理器中,单击“本地服务器”。 在详细信息窗格中,单击“工作组”。 这将打开“系统属性”对话框。
在“系统属性” 对话框中,单击“更改” 。 这将打开“计算机名/域更改”对话框。
在“计算机名称”中的“隶属于”中,单击“域”,然后键入要加入的域的名称。 例如,如果域名为 corp.contoso.com,则键入 corp.contoso.com。
单击“确定” 。 这将打开“Windows 安全”对话框。
在“计算机名/域更改”中的“用户名”中,键入用户名,并在“密码”中键入密码,然后单击“确定”。 将会打开“计算机名/域更改”对话框,欢迎你加入域。 单击“确定”。
“计算机名/域更改”对话框显示一条消息,表明必须重新启动计算机才能应用更改。 单击“确定”。
在“系统属性”对话框上的“计算机名称”选项卡上,单击“关闭”。 将会打开 Microsoft Windows 对话框并显示一条消息,再次表明必须重新启动计算机才能应用更改。 请单击“立即重启”。
注意
有关如何将运行其他 Microsoft 操作系统的计算机加入到域的信息,请参阅附录 C – 将计算机加入到域。
使用运行 Windows Server 2016 的计算机登录到域
注销计算机,或重新启动计算机。
按 Ctrl + Alt + Delete。 将会出现登录屏幕。
在左下角,单击“其他用户”。
在“用户名”中,键入你的用户名。
在“密码”中,键入域密码,然后单击箭头,或按 Enter。
注意
有关如何使用运行其他 Microsoft 操作系统的计算机登录到域的信息,请参阅附录 D – 登录到域。
部署 DHCP1
在部署核心网络的此组件之前,必须执行以下操作:
执行配置所有服务器部分描述的步骤。
执行将服务器计算机加入域并登录部分描述的步骤。
若要部署 DHCP1 [运行“动态主机配置协议 (DHCP)”服务器角色的计算机],必须按照以下顺序完成这些步骤:
注意
要使用 Windows PowerShell 执行这些过程,打开 PowerShell 并在不同的行中键入下列 cmdlet,然后按 ENTER 键。 你也必须将作用域名称、IP 地址起始和结束范围、子网掩码和此例子中的其他值替换为要使用的值。
Install-WindowsFeature DHCP -IncludeManagementTools
Add-DhcpServerv4Scope -name "Corpnet" -StartRange 10.0.0.1 -EndRange 10.0.0.254 -SubnetMask 255.255.255.0 -State Active
Add-DhcpServerv4ExclusionRange -ScopeID 10.0.0.0 -StartRange 10.0.0.1 -EndRange 10.0.0.15
Set-DhcpServerv4OptionValue -OptionID 3 -Value 10.0.0.1 -ScopeID 10.0.0.0 -ComputerName DHCP1.corp.contoso.com
Add-DhcpServerv4Scope -name "Corpnet2" -StartRange 10.0.1.1 -EndRange 10.0.1.254 -SubnetMask 255.255.255.0 -State Active
Add-DhcpServerv4ExclusionRange -ScopeID 10.0.1.0 -StartRange 10.0.1.1 -EndRange 10.0.1.15
Set-DhcpServerv4OptionValue -OptionID 3 -Value 10.0.1.1 -ScopeID 10.0.1.0 -ComputerName DHCP1.corp.contoso.com
Set-DhcpServerv4OptionValue -DnsDomain corp.contoso.com -DnsServer 10.0.0.2
Add-DhcpServerInDC -DnsName DHCP1.corp.contoso.com
安装动态主机配置协议 (DHCP)
可以使用此过程,通过“添加角色和功能向导”安装和配置 DHCP 服务器角色。
“Domain Admins”成员身份或同等身份是执行此过程的最低要求。
安装 DHCP 的步骤
在 DHCP1 上,在“服务器管理器”中,单击“管理”,然后单击“添加角色和功能”。 “添加角色和功能向导”将打开。
在“准备工作”中,单击“下一步”。
注意
如果以前运行“添加角色和功能向导”时选择了“默认跳过此页”,则“添加角色和功能向导”的“准备工作”页不会显示。
在“选择安装类型”中,确保选中“基于角色或基于功能的安装”,然后单击“下一步”。
在“选择目标服务器”中,确保选中“从服务器池中选择一个服务器”。 在“服务器池”中,确保选中了本地计算机。 单击“下一步”。
在“选择服务器角色”的“角色”中,选择“DHCP 服务器”。 在“添加DHCP 服务器所需的功能”中,单击“添加功能”。 单击“下一步”。
在“选择功能”中,单击“下一步”,然后在“DHCP 服务器”中查看提供的信息,然后单击“下一步”。
在“确认安装选择”中,单击“如果需要,自动重启目标服务器”。 当提示你确认这一选择时,单击“是”,然后单击“安装”。 “安装进度”页会显示安装期间的状态。 安装完成后,系统会显示“需要配置, ComputerName 上的安装成功”消息,其中 ComputerName 是安装了 DHCP 服务器的计算机名称。 在消息窗口中,单击“完成 DHCP 配置”。 这将打开DHCP 安装后配置向导。 单击“下一步”。
在“授权”中,指定要用来给“Active Directory 域服务”中的 DHCP 服务器授权的凭据,然后单击“确认”。 授权完成后,请单击“关闭”。
创建并激活一个新的 DHCP 作用域
可以使用此过程通过 DHCP Microsoft 管理控制台 (MMC) 新建 DHCP 作用域。 当完成这个过程后,作用域被激活,你创建的排除范围将阻止 DHCP 服务器出租你用来静态配置需要静态 IP 地址的服务器和其他设备。
DHCP 管理员中的成员身份或等效身份是执行此过程所需的最低要求。
创建并激活一个新的 DHCP 作用域的步骤
在 DHCP1 的服务器管理器中,单击“工具”,然后单击“DHCP”。 此时将打开 DHCP MMC。
在“DHCP”中,展开服务器名称。 例如,如果 DHCP 服务器名称为 DHCP1.corp.contoso.com,单击 DHCP1.corp.contoso.com 旁边的向下箭头。
右键单击该服务器名称下方的“IPv4”,然后单击“新建作用域”。 此时将打开新建作用域向导。
在“欢迎使用新建作用域向导”中,单击“下一步”。
在“作用域名称”的“名称”中,键入作用域的名称。 例如,键入“子网 1”。
在“描述”中,键入对新作用域的描述,然后单击“下一步”。
在“IP 地址范围”中,执行以下操作:
在“起始 IP 地址”中,键入为范围中第一个 IP 地址的 IP 地址。 例如,键入 10.0.0.1。
在“结束 IP 地址”中,键入范围中最后一个 IP 地址的 IP 地址。 例如,键入 10.0.0.254。 根据为“起始 IP 地址”输入的 IP 地址,会自动输入“长度”和“子网掩码”的值。
如有必要,修改“长度”或“子网掩码”的值以适合你的寻址方案。
单击“下一步”。
在“添加排除”中,执行以下操作:
在“起始 IP 地址”中,键入为排除范围中第一个 IP 地址的 IP 地址。 例如,键入 10.0.0.1。
在“结束 IP 地址”中,键入排除范围中最后一个 IP 地址,例如键入 10.0.0.15。
单击“添加”,然后单击“下一步”。
在“租用期限”中,修改“天”、“小时”和“分钟”的默认值以适合你的网络,然后单击“下一步”。
在“配置 DHCP 选项”中,选择“是,我想现在配置这些选项”,然后单击“下一步”。
在“路由器(默认网关)”中,执行以下操作之一:
如果网络上没有路由器,则单击“下一步”。
在“IP 地址”中,键入路由器或默认网关的 IP 地址。 例如,键入 10.0.0.1。 单击“添加”,然后单击“下一步”。
在“域名称和 DNS 服务器”中,执行以下操作之一:
在“父域”中,键入客户端用于名称解析的 DNS 域的名称。 例如,键入 corp.contoso.com。
在“服务器名称”中,键入客户端用于名称解析的 DNS 计算机的名称。 例如,键入 DC1。
单击解决。 DNS 服务器的 IP 地址便添加到“IP 地址”中。 单击“添加”,等候 DNS 服务器 IP 地址验证完成,然后单击“下一步”。
如果网络上没有 WINS 服务器,则在“WINS 服务器”中单击“下一步”。
在“激活作用域”中,选择“是,我要立刻激活这个作用域”。
单击“下一步” ,然后单击“完成” 。
重要
要为更多的子网创建新作用域,重复这一过程。 为要部署的每个子网使用不同的 IP 地址,并确保所有导向其他子网的路由器上,都启用了 DHCP 消息转发。
将客户端计算机加入域并登录
注意
若要使用 Windows PowerShell 执行这一过程,请打开 PowerShell 并键入以下 cmdlet,然后按 ENTER。 你同样必须将域名替换为你要使用的名字。
Add-Computer -DomainName corp.contoso.com
按照提示,为一个有权限将计算机加入域的帐户键入用户名和密码。 若要重新启动计算机,键入以下命令,然后按 ENTER 键。
Restart-Computer
将运行 Windows 10 的计算机加入到域
使用本地 Administrator 帐户登录到计算机。
在“搜索 Web 和 Windows”中,键入“系统”。 在搜索结果中,单击“系统(控制面板)”。 这将打开“系统”对话框。
在“系统”中单击“高级系统设置”。 这将打开“系统属性”对话框。 单击“计算机名”选项卡。
在“计算机名”中,单击“更改”。 这将打开“计算机名/域更改”对话框。
在“计算机名/域更改”的“隶属于”中,单击“域”,然后键入要加入的域的名称。 例如,如果域名为 corp.contoso.com,则键入 corp.contoso.com。
单击“确定” 。 这将打开“Windows 安全”对话框。
在“计算机名/域更改”中的“用户名”中,键入用户名,并在“密码”中键入密码,然后单击“确定”。 将会打开“计算机名/域更改”对话框,欢迎你加入域。 单击“确定”。
“计算机名/域更改”对话框显示一条消息,表明必须重新启动计算机才能应用更改。 单击“确定”。
在“系统属性”对话框上的“计算机名称”选项卡上,单击“关闭”。 将会打开 Microsoft Windows 对话框并显示一条消息,再次表明必须重新启动计算机才能应用更改。 请单击“立即重启”。
将运行 Windows 8.1 的计算机加入到域
使用本地 Administrator 帐户登录到计算机。
右键单击“开始”,然后单击“系统”。 这将打开“系统”对话框。
在“系统”中单击“高级系统设置”。 这将打开“系统属性”对话框。 单击“计算机名”选项卡。
在“计算机名”中,单击“更改”。 这将打开“计算机名/域更改”对话框。
在“计算机名/域更改”的“隶属于”中,单击“域”,然后键入要加入的域的名称。 例如,如果域名为 corp.contoso.com,则键入 corp.contoso.com。
单击“确定” 。 这将打开“Windows 安全”对话框。
在“计算机名/域更改”中的“用户名”中,键入用户名,并在“密码”中键入密码,然后单击“确定”。 将会打开“计算机名/域更改”对话框,欢迎你加入域。 单击“确定”。
“计算机名/域更改”对话框显示一条消息,表明必须重新启动计算机才能应用更改。 单击“确定”。
在“系统属性”对话框上的“计算机名称”选项卡上,单击“关闭”。 将会打开 Microsoft Windows 对话框并显示一条消息,再次表明必须重新启动计算机才能应用更改。 请单击“立即重启”。
使用运行 Windows 10 的计算机登录到域
注销计算机,或重新启动计算机。
按 Ctrl + Alt + Delete。 将会出现登录屏幕。
在左下角,单击“其他用户”。
在“用户名”中,以 域名\域用户名 格式键入域和用户名。 例如,若要使用名为 User-01 的帐户登录到域 corp.contoso.com,则键入 CORP\User-01。
在“密码”中,键入域密码,然后单击箭头,或按 Enter。
为网络访问身份验证和 Web 服务部署可选功能
如果想部署网络访问服务器(如无线访问点或 VPN 服务器),在安装核心网络之后,建议同时部署 NPS 和 Web 服务器。 对于网络访问部署,建议使用基于安全证书的身份验证方法。 可以用 NPS 管理网络访问策略并部署安全身份验证方法。 可以用 Web 服务器发布提供安全身份验证所需证书的证书颁发机构 (CA) 的证书吊销列表 (CRL)。
注意
可以使用“核心网络助理指南”部署服务器证书和其他附加功能。 有关详细信息,请参阅其他技术资源。
下图显示添加了 NPS 和 Web 服务器的 Windows Server 核心网络拓扑。
下面的部分提供了向网络添加 NPS 和 Web 服务器的有关信息。
部署 NPS1
安装网络策略服务器 (NPS) 服务器,将其作为部署其他网络访问技术 [如虚拟专用网络 (VPN) 服务器、无线访问点以及 802.1X 身份验证交换机] 的预备步骤。
网络策略服务器 (NPS) 允许使用以下功能来集中配置和管理网络策略:远程身份验证拨入用户服务 (RADIUS) 服务器和 RADIUS 代理。
NPS 是核心网络的可选组件,但如果下列任何一项为真,则应安装 NPS:
计划扩展网络以包含与 RADIUS 协议兼容的远程访问服务器,例如运行 Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 或 Windows Server 2008 以及路由和远程访问服务、终端服务网关或远程桌面网关的计算机。
计划部署 802.1X 身份验证进行有线或无线访问。
在部署此角色服务之前,必须在要配置为 NPS 的计算机上执行以下步骤。
执行配置所有服务器部分描述的步骤。
执行将服务器计算机加入域并登录部分描述的步骤。
若要部署 NPS1 [运行“网络策略和访问服务”服务器角色的“网络策略服务器 (NPS)”角色服务的计算机],必须完成此步骤:
注意
本指南提供有关在名为 NPS1 的独立服务器或 VM 上部署 NPS 的说明。 另一种建议的部署模式是在域控制器上安装 NPS。 如果更喜欢在域控制器而不是独立服务器上安装 NPS,请在 DC1 上安装 NPS。
规划 NPS1 的部署
如果想部署网络访问服务器(如无线访问点或 VPN 服务器),则在部署基础网络之后,建议你部署 NPS。
将 NPS 用作远程身份验证拨入用户服务 (RADIUS) 服务器时,NPS 通过网络访问服务器对连接请求执行身份验证和授权。 NPS 还允许你集中配置和管理网络策略,这些网络策略确定谁可以访问网络、他们如何访问网络以及何时可以访问网络。
下面是安装 NPS 之前的主要规划步骤。
规划用户帐户数据库。 默认情况下,如果将运行 NPS 的计算机加入 Active Directory 域,则 NPS 使用 AD DS 用户帐户数据库执行身份验证和授权。 某些情况下,例如将 NPS 用作 RADIUS 代理将连接请求转发给其他 RADIUS 服务器的大型网络,可能希望将 NPS 安装在非域成员的计算机上。
规划 RADIUS 记帐。 NPS 允许你将记帐数据记录到 SQL Server 数据库或记录到本地计算机上的文本文件。 如果想使用 SQL Server 日志记录,请规划运行 SQL Server 的服务器的安装和配置。
安装网络策略服务器 (NPS)
可以使用以下过程通过“添加角色和功能向导”来安装网络策略服务器 (NPS)。 NPS 是网络策略和访问服务服务器角色的一个角色服务。
注意
默认情况下,NPS 在所有已安装的网络适配器上侦听端口 1812、1813、1645 和 1646 上的 RADIUS 流量。 如果安装 NPS 时启用了高级安全 Windows 防火墙,则在 Internet 协议版本 6 (IPv6) 和 IPv4 流量的安装过程中会自动为这些端口创建防火墙例外。 如果网络访问服务器配置为通过这些默认端口之外的端口发送 RADIUS 流量,请移除 NPS 安装期间在带有高级安全性的 Windows 防火墙中创建的例外,并为用于 RADIUS 流量的端口创建例外。
管理凭据
若要完成此过程,你必须是 Domain Admins 组的成员。
注意
要使用 Windows PowerShell 执行这一过程,打开 PowerShell 并键入下列内容,然后按 ENTER 键。
Install-WindowsFeature NPAS -IncludeManagementTools
安装 NPS 的步骤
在 NPS1 上,在“服务器管理器”中,单击“管理”,然后单击“添加角色和功能”。 “添加角色和功能向导”将打开。
在“准备工作”中,单击“下一步”。
注意
如果以前运行“添加角色和功能向导”时选择了“默认跳过此页”,则“添加角色和功能向导”的“准备工作”页不会显示。
在“选择安装类型”中,确保选中“基于角色或基于功能的安装”,然后单击“下一步”。
在“选择目标服务器”中,确保选中“从服务器池中选择一个服务器”。 在“服务器池”中,确保选中了本地计算机。 单击“下一步”。
在“选择服务器角色”中的“角色”中,选择“网络策略和访问服务”。 此时会打开一个对话框,询问是否应添加网络策略和访问服务所需的功能。 单击“添加功能” ,然后单击“下一步” 。
在选择功能中,单击“下一步”,然后在“网络策略和访问服务”中查看提供的信息,然后单击“下一步”。
在“选择角色服务”中,单击“网络策略服务器”。 在添加“网络策略服务器”需要的功能中,单击“添加功能”。 单击“下一步”。
在“确认安装选择”中,单击“如果需要,自动重启目标服务器”。 当提示你确认这一选择时,单击“是”,然后单击“安装”。 “安装进度”页会显示安装期间的状态。 此过程完成后,系统会显示“ComputerName 上的安装成功”消息,其中 ComputerName 是安装了网络策略服务器的计算机名称。 单击“关闭” 。
在默认域中注册 NPS
可以使用该过程在域中注册 NPS,该服务器是该域中的一个域成员。
NPS 必须在 Active Directory 中注册,这样在授权过程中其就有权限读取用户帐户的拨入属性。 注册 NPS 会将服务器添加到 Active Directory 中的“RAS 和 IAS 服务器”组。
管理凭据
若要完成此过程,你必须是 Domain Admins 组的成员。
注意
要在 Windows PowerShell 中使用网络 shell (Netsh) 命令执行这一过程,请打开 PowerShell 并键入以下内容,然后按 ENTER。
netsh nps add registeredserver domain=corp.contoso.com server=NPS1.corp.contoso.com
在其默认域中注册 NPS
在 NPS1 的服务器管理器中,单击“工具”,然后单击“网络策略服务器”。 此时将打开网络策略服务器 MMC。
右键单击“NPS (本地)”,然后单击“在 Active Directory 中注册服务器”。 打开“网络策略服务器”对话框。
在“网络策略服务器”中,单击“确定”,然后再次单击“确定”。
有关网络策略服务器的详细信息,请参阅网络策略服务器 (NPS)。
部署 WEB1
Windows Server 2016 中的 Web 服务器 (IIS) 角色提供一个安全、易于管理的模块化和可扩展的平台,以可靠地托管网站、服务和应用程序。 通过 Internet Information Services (IIS),可与 Internet、Intranet 或 Extranet 上的用户分享信息。 IIS 是一个集 IIS、ASP.NET、FTP 服务、PHP 和 Windows Communication Foundation (WCF) 于一体的 Web 平台。
“Web 服务器(IIS)”服务器角色允许你发布 CRL 以方便域成员计算机进行访问,此外还允许你设置和管理多个网站、Web 应用程序和 FTP 站点。 IIS 还具有以下优点:
通过减少服务器资源占用和自动应用程序隔离,最大程度地保证 web 安全。
轻松地在同一个服务器上部署和运行 ASP.NET、经典 ASP 和 PHP web 应用程序。
通过默认情况下赋予工作进程唯一的标识和带沙盒安全机制的配置,实现应用程序隔离,进一步降低安全风险。
能够轻松添加、删除、甚至使用自定义模块替换内置的 IIS 组件,特别符合客户需求。
通过内置的动态缓存和增强压缩提高网站的速度。
要部署运行“Web 服务器 (IIS)”服务器角色的计算机 WEB1,必须执行以下操作:
执行配置所有服务器部分描述的步骤。
执行将服务器计算机加入域并登录部分描述的步骤。
安装 Web 服务器 (IIS) 服务器角色
若要完成此过程,你必须是Administrators组的成员。
注意
要使用 Windows PowerShell 执行这一过程,打开 PowerShell 并键入下列内容,然后按 ENTER 键。
Install-WindowsFeature Web-Server -IncludeManagementTools
单击“服务器管理器”中单击“管理”,并单击“添加角色和功能”。 “添加角色和功能向导”将打开。
在“准备工作”中,单击“下一步”。
注意
如果以前运行“添加角色和功能向导”时选择了“默认跳过此页”,则“添加角色和功能向导”的“准备工作”页不会显示。
在“选择安装类型”页上,单击“下一步”。
在“选择目标服务器”页上,确保选中本地计算机,然后单击“下一步”。
在“选择服务器角色”页上,滚动并选择“Web 服务器(IIS)”。 此时会打开“添加 Web 服务器(IIS)所需的功能”对话框。 单击“添加功能” ,然后单击“下一步” 。
单击“下一步”直到接受了所有默认的 Web 服务器设置,然后单击“安装”。
验证是否所有安装都已成功,然后单击“关闭”。
其他技术资源
有关本指南中讨论的技术的详细信息,请参见以下资源:
Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2012 技术库资源
https://technet.microsoft.com/library/hh831484.aspx 中的 Active Directory 域服务概述。
https://technet.microsoft.com/library/hh831667.aspx 中的域名系统 (DNS) 概述。
https://technet.microsoft.com/library/hh831825.aspx 中的动态主机配置协议 (DHCP) 概述。
https://technet.microsoft.com/library/hh831683.aspx 中的网络策略和访问服务概述。
https://technet.microsoft.com/library/hh831725.aspx 中的 Web 服务器 (IIS) 概述。
附录 A 到 E
以下部分包含其他配置信息,适用于运行 Windows Server 2016、Windows 10、Windows Server 2012 和 Windows 8 以外的操作系统的计算机。 此外,还提供了一个网络准备工作表来帮助你进行部署。
附录 A - 重命名计算机
可以使用本部分介绍的过程为运行 Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 的计算机提供不同的计算机名称。
Windows Server 2008 R2 和 Windows 7
Administrators组成员或同等身份是执行这些过程的最低要求。
重命名运行 Windows Server 2008 R2 和 Windows 7 的计算机的步骤
单击“开始”、右键单击“计算机”,然后单击“属性”。 这将打开“系统”对话框。
在“计算机名、域和工作组设置”中,单击“更改设置”。 这将打开“系统属性”对话框。
注意
在运行 Windows 7 的计算机上,“系统属性”对话框打开之前,系统会打开“用户帐户控制”对话框,请求是否允许继续操作。 单击“继续”以继续。
单击更改。 这将打开“计算机名/域更改”对话框。
在“计算机名称”中,键入计算机的名称。 例如,如果要将计算机命名为 DC1,请键入 DC1。
单击两次“确定”,单击“关闭”,然后单击“立即重启”以重新启动计算机。
Windows Server 2008 和 Windows Vista
Administrators组成员或同等身份是执行这些过程的最低要求。
重命名运行 Windows Server 2008 和 Windows Vista 的计算机的步骤
单击“开始”、右键单击“计算机”,然后单击“属性”。 这将打开“系统”对话框。
在“计算机名、域和工作组设置”中,单击“更改设置”。 这将打开“系统属性”对话框。
注意
在运行 Windows Vista 的计算机上,“系统属性”对话框打开之前,系统会打开“用户帐户控制”对话框,请求是否允许继续操作。 单击“继续”以继续。
单击更改。 这将打开“计算机名/域更改”对话框。
在“计算机名称”中,键入计算机的名称。 例如,如果要将计算机命名为 DC1,请键入 DC1。
单击两次“确定”,单击“关闭”,然后单击“立即重启”以重新启动计算机。
附录 B - 配置静态 IP 地址
本主题提供在运行以下操作系统的计算机上配置静态 IP 地址的过程:
Windows Server 2008 R2
Administrators组成员或同等身份是执行此过程的最低要求。
在运行 Windows Server 2008 R2 的计算机上配置静态 IP 地址的步骤
单击「开始」,然后单击“控制面板”。
在“控制面板”中,单击“网络和 Internet”。 这将打开“网络和 Internet”。
在“网络和 Internet”中,单击“网络和共享中心”。 这将打开“网络和共享中心”。
在“网络和共享中心”中,单击“更改适配器设置”。 这将打开“网络连接”。
在“网络连接”中,右键单击要配置的网络连接,然后单击“属性”。
在“本地连接属性”的“此连接使用下列项目”中,选择“Internet 协议版本 4 (TCP/IPv4)”,然后单击“属性”。 这将打开“Internet 协议版本 4 (TCP/IPv4) 属性”对话框。
在“Internet 协议版本 4 (TCP/IPv4) 属性”中的“常规”选项卡上,单击“使用下面的 IP 地址”。 在“IP 地址”中,键入你要使用的 IP 地址。
按 Tab 以将光标移到“子网掩码”中。 子网掩码的默认值将自动输入。 可以接受该默认的子网掩码,也可以键入要使用的子网掩码。
在“默认网关”中,键入默认网关的 IP 地址。
在“首选 DNS 服务器”中,键入 DNS 服务器的 IP 地址。 如果计划使用本地计算机作为首选 DNS 服务器,则键入本地计算机的 IP 地址。
在“备用 DNS 服务器”中,键入备用 DNS 服务器的 IP 地址(如果有)。 如果计划使用本地计算机作为备用 DNS 服务器,则键入本地计算机的 IP 地址。
单击 “确定” ,再单击 “关闭” 。
Windows Server 2008
Administrators组成员或同等身份是执行这些过程的最低要求。
在运行 Windows Server 2008 的计算机上配置静态 IP 地址的步骤
单击「开始」,然后单击“控制面板”。
在“控制面板”中,验证是否选择了“经典视图”,然后双击“网络和共享中心”。
在“网络和共享中心”的“任务”中,单击“管理网络连接”。
在“网络连接”中,右键单击要配置的网络连接,然后单击“属性”。
在“本地连接属性”的“此连接使用下列项目”中,选择“Internet 协议版本 4 (TCP/IPv4)”,然后单击“属性”。 这将打开“Internet 协议版本 4 (TCP/IPv4) 属性”对话框。
在“Internet 协议版本 4 (TCP/IPv4) 属性”中的“常规”选项卡上,单击“使用下面的 IP 地址”。 在“IP 地址”中,键入你要使用的 IP 地址。
按 Tab 以将光标移到“子网掩码”中。 子网掩码的默认值将自动输入。 可以接受该默认的子网掩码,也可以键入要使用的子网掩码。
在“默认网关”中,键入默认网关的 IP 地址。
在“首选 DNS 服务器”中,键入 DNS 服务器的 IP 地址。 如果计划使用本地计算机作为首选 DNS 服务器,则键入本地计算机的 IP 地址。
在“备用 DNS 服务器”中,键入备用 DNS 服务器的 IP 地址(如果有)。 如果计划使用本地计算机作为备用 DNS 服务器,则键入本地计算机的 IP 地址。
单击 “确定” ,再单击 “关闭” 。
附录 C – 将计算机加入到域
可以使用这些过程将运行 Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 的计算机加入到域。
重要
若要将计算机加入域,必须使用本地 Administrator 帐户登录到计算机,或者,如果使用不具有本地计算机管理凭据的用户帐户登录到计算机,则必须在将计算机加入域的过程中提供本地 Administrator 帐户的凭据。 此外,还必须在要将计算机加入其中的域中拥有一个用户帐户。 在将计算机加入域的过程中,系统将提示你提供域帐户凭据(用户名和密码)。
Windows Server 2008 R2 和 Windows 7
“域用户”中的成员身份或同等身份是执行此过程所需的最低要求。
将运行 Windows Server 2008 R2 和 Windows 7 的计算机加入域的步骤
使用本地 Administrator 帐户登录到计算机。
单击“开始”、右键单击“计算机”,然后单击“属性”。 这将打开“系统”对话框。
在“计算机名、域和工作组设置”中,单击“更改设置”。 这将打开“系统属性”对话框。
注意
在运行 Windows 7 的计算机上,“系统属性”对话框打开之前,系统会打开“用户帐户控制”对话框,请求是否允许继续操作。 单击“继续”以继续。
单击更改。 这将打开“计算机名/域更改”对话框。
在“计算机名称”中的“隶属于”中,选择“域”,然后键入要加入的域的名称。 例如,如果域名为 corp.contoso.com,则键入 corp.contoso.com。
单击“确定” 。 这将打开“Windows 安全”对话框。
在“计算机名/域更改”中的“用户名”中,键入用户名,并在“密码”中键入密码,然后单击“确定”。 将会打开“计算机名/域更改”对话框,欢迎你加入域。 单击“确定”。
“计算机名/域更改”对话框显示一条消息,表明必须重新启动计算机才能应用更改。 单击“确定”。
在“系统属性”对话框上的“计算机名称”选项卡上,单击“关闭”。 将会打开 Microsoft Windows 对话框并显示一条消息,再次表明必须重新启动计算机才能应用更改。 请单击“立即重启”。
Windows Server 2008 和 Windows Vista
“域用户”中的成员身份或同等身份是执行此过程所需的最低要求。
将运行 Windows Server 2008 和 Windows Vista 的计算机加入域的步骤
使用本地 Administrator 帐户登录到计算机。
单击“开始”、右键单击“计算机”,然后单击“属性”。 这将打开“系统”对话框。
在“计算机名、域和工作组设置”中,单击“更改设置”。 这将打开“系统属性”对话框。
单击更改。 这将打开“计算机名/域更改”对话框。
在“计算机名称”中的“隶属于”中,选择“域”,然后键入要加入的域的名称。 例如,如果域名为 corp.contoso.com,则键入 corp.contoso.com。
单击“确定” 。 这将打开“Windows 安全”对话框。
在“计算机名/域更改”中的“用户名”中,键入用户名,并在“密码”中键入密码,然后单击“确定”。 将会打开“计算机名/域更改”对话框,欢迎你加入域。 单击“确定”。
“计算机名/域更改”对话框显示一条消息,表明必须重新启动计算机才能应用更改。 单击“确定”。
在“系统属性”对话框上的“计算机名称”选项卡上,单击“关闭”。 将会打开 Microsoft Windows 对话框并显示一条消息,再次表明必须重新启动计算机才能应用更改。 请单击“立即重启”。
附录 D – 登录到域
可以通过这些过程,使用运行 Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 的计算机登录到域。
Windows Server 2008 R2 和 Windows 7
“域用户”中的成员身份或同等身份是执行此过程所需的最低要求。
使用运行 Windows Server 2008 R2 和 Windows 7 的计算机登录到域的步骤
注销计算机,或重新启动计算机。
按 Ctrl + Alt + Delete。 将会出现登录屏幕。
单击“切换用户”,然后单击“其他用户”。
在“用户名”中,以 域名\域用户名 格式键入域和用户名。 例如,若要使用名为 User-01 的帐户登录到域 corp.contoso.com,则键入 CORP\User-01。
在“密码”中,键入域密码,然后单击箭头,或按 Enter。
Windows Server 2008 和 Windows Vista
“域用户”中的成员身份或同等身份是执行此过程所需的最低要求。
使用运行 Windows Server 2008 和 Windows Vista 的计算机登录到域的步骤
注销计算机,或重新启动计算机。
按 Ctrl + Alt + Delete。 将会出现登录屏幕。
单击“切换用户”,然后单击“其他用户”。
在“用户名”中,以 域名\域用户名 格式键入域和用户名。 例如,若要使用名为 User-01 的帐户登录到域 corp.contoso.com,则键入 CORP\User-01。
在“密码”中,键入域密码,然后单击箭头,或按 Enter。
附录 E - 核心网络规划准备页
可以使用此网络规划准备页收集安装核心网络所需的信息。 本主题提供了几个表,这些表包含每台服务器计算机的各个配置项,在安装或配置过程中必须为它们提供相关信息或特定值。 为每个配置项提供了示例值。
为了进行规划和跟踪,每个表中都为你提供了输入部署时所使用值的空间。 如果在这些表中记录与安全有关的值,则应将此信息存储在安全位置。
以下链接会将你引导至本主题中的各个部分,这些部分将提供与本指南中所提供的部署过程关联的配置项和示例值。
安装 Active Directory 域服务和 DNS
此部分中的表列出 Active Directory 域服务 (AD DS) 和 DNS 的预安装配置项和安装配置项。
AD DS 和 DNS 的预安装配置项
下列表格列出了配置所有服务器中所述的预安装配置项:
| 配置项 | 示例值 | 值 |
|---|---|---|
| IP 地址 | 10.0.0.2 | |
| 子网掩码 | 255.255.255.0 | |
| 默认网关 | 10.0.0.1 | |
| 首选 DNS 服务器 | 127.0.0.1 | |
| 备用 DNS 服务器 | 10.0.0.15 |
| 配置项 | 示例值 | 值 |
|---|---|---|
| 计算机名称 | DC1 |
AD DS 和 DNS 安装配置项
Windows Server 核心网络部署过程为新林安装 AD DS 和 DNS 的配置项:
| 配置项 | 示例值 | 值 |
|---|---|---|
| 完整 DNS 名 | corp.contoso.com | |
| 林功能级别 | Windows Server 2003 | |
| “Active Directory 域服务”数据库文件夹位置 | E:\Configuration\ 或接受默认位置。 |
|
| “Active Directory 域服务”日志文件文件夹位置 | E:\Configuration\ 或接受默认位置。 |
|
| Active Directory 域服务 SYSVOL 文件夹位置 | E:\Configuration\ 或接受默认位置 |
|
| 目录还原模式的管理员密码 | J*p2leO4$F | |
| 答案文件名(可选) | AD DS_AnswerFile |
配置 DNS 反向查找区域
| 配置项 | 示例值 | 值 |
|---|---|---|
| 区域类型: | - 主要区域 - 辅助区域 - 存根区域 |
|
| 区域类型 在 Active Directory 中存储区域 |
- 已选定 - 未选定 |
|
| Active Directory 区域传送作用域 | - 至此林中的所有 DNS 服务器 - 至此域中的所有 DNS 服务器 - 至此域中的所有域控制器 - 至此目录分区的作用域中指定的所有域控制器 |
|
| 反向查找区域名称 (IP 类型) |
- IPv4 反向查找区域 - IPv6 反向查找区域 |
|
| 反向查找区域名称 (网络 ID) |
10.0.0 |
安装 DHCP
此部分中的表列出了 DHCP 的预安装配置项和安装配置项。
DHCP 的预安装配置项
下列表格列出了配置所有服务器中所述的预安装配置项:
| 配置项 | 示例值 | 值 |
|---|---|---|
| IP 地址 | 10.0.0.3 | |
| 子网掩码 | 255.255.255.0 | |
| 默认网关 | 10.0.0.1 | |
| 首选 DNS 服务器 | 10.0.0.2 | |
| 备用 DNS 服务器 | 10.0.0.15 |
| 配置项 | 示例值 | 值 |
|---|---|---|
| 计算机名称 | DHCP1 |
DHCP 安装配置项
Windows Server 核心网络部署过程安装动态主机配置协议 (DHCP) 的配置项:
| 配置项 | 示例值 | 值 |
|---|---|---|
| 网络连接绑定 | 以太网 | |
| DNS 服务器设置 | DC1 | |
| 首选 DNS 服务器 IP 地址 | 10.0.0.2 | |
| 备用 DNS 服务器 IP 地址 | 10.0.0.15 | |
| 作用域名 | Corp1 | |
| 起始 IP 地址 | 10.0.0.1 | |
| 结束 IP 地址 | 10.0.0.254 | |
| 子网掩码 | 255.255.255.0 | |
| 默认网关(可选) | 10.0.0.1 | |
| 租用期限 | 8 天 | |
| IPv6 DHCP 服务器操作模式 | 未启用 |
在 DHCP 中创建排除范围
配置项以在 DHCP 中创建作用域时,创建一个排除范围。
| 配置项 | 示例值 | 值 |
|---|---|---|
| 作用域名 | Corp1 | |
| 作用域描述 | 主办公室子网 1 | |
| 排除范围起始 IP 地址 | 10.0.0.1 | |
| 排除范围结束 IP 地址 | 10.0.0.15 |
新建 DHCP 作用域
Windows Server 核心网络部署过程创建并激活一个新的 DHCP 作用域的配置项:
| 配置项 | 示例值 | 值 |
|---|---|---|
| 新作用域名称 | Corp2 | |
| 作用域描述 | 主办公室子网 2 | |
| (IP 地址范围) 起始 IP 地址 |
10.0.1.1 | |
| (IP 地址范围) 结束 IP 地址 |
10.0.1.254 | |
| Length | 8 | |
| 子网掩码 | 255.255.255.0 | |
| (排除范围)起始 IP 地址 | 10.0.1.1 | |
| 排除范围结束 IP 地址 | 10.0.1.15 | |
| 租用期限 天 小时 分钟数 |
-8 - 0 - 0 |
|
| 路由器(默认网关) IP 地址 |
10.0.1.1 | |
| DNS 父域 | corp.contoso.com | |
| DNS 服务器 IP 地址 |
10.0.0.2 |
安装网络策略服务器(可选)
此部分中的表列出了 NPS 的预安装配置项和安装配置项。
预安装配置项
以下三个表列出了配置所有服务器中所述的预安装配置项:
| 配置项 | 示例值 | 值 |
|---|---|---|
| IP 地址 | 10.0.0.4 | |
| 子网掩码 | 255.255.255.0 | |
| 默认网关 | 10.0.0.1 | |
| 首选 DNS 服务器 | 10.0.0.2 | |
| 备用 DNS 服务器 | 10.0.0.15 |
| 配置项 | 示例值 | 值 |
|---|---|---|
| 计算机名称 | NPS1 |
网络策略服务器安装配置项
Windows Server 核心网络部署过程的配置项:安装网络策略服务器 (NPS) 和在默认域中注册 NPS。
- 安装和注册 NPS 不需要其他配置项。